抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静通告

WebLogic T3协议反序列化 0day 漏洞

宣布时间 2021-04-19

0x00 漏洞概述

CVE ID		时间	2021-04-19
类型	RCE	等级	高危
远程利用	是	影响范围
PoC/EXP	已果然	在野利用	是

0x01 漏洞详情

近日，WebLogic被披露存在一个T3协议反序列化0 day漏洞，攻击者可利用此漏洞造成远程代码执行，目前该漏洞处于在野0day状态，而且PoC/EXP已在Github上果然。

在该漏洞的poc中，使用了java.rmi.MarshalledObject类，并将objBytes属性作为反序列化的流，从中解析工具，可以通过把objBytes替换为指定反序列化就可以实现weblogic黑名单绕过。

0x02 处置建议

建议将jdk升级到最新版本，并禁用iiop/t3协议以作为临时缓解措施。

禁用T3协议，具体操作如下：

1）进入WebLogic控制台，在base_domain的配置页面中，进入“宁静”选项卡页面，点击“筛选器”，进入连接筛选器配置。

2)在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：127.0.0.1 * * allow t3t3s，0.0.0.0/0 * *deny t3 t3s(t3和t3s协议的所有端口只允许当地访问)。

3）生存后需重新启动，规则方可生效。

禁用IIOP协议，具体操作如下：

登陆WebLogic控制台，base_domain >服务器提要 >AdminServer

下载链接：

https://www.oracle.com/cn/java/technologies/javase/javase-jdk8-downloads.html

0x03 参考链接

https://github.com/hhroot/2021_Hvv/commit/8dcfdd7786ded69f404d52a162a8c4dfcbfd34b9

https://www.oracle.com/cn/java/technologies/javase/javase-jdk8-downloads.html

0x04 时间线

2021-04-18 研究人员披露漏洞

2021-04-19 VSRC宣布宁静通告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号